Parolele au murit, trăiască parolele!

Parolele sunt enervante. Multă lume urăște parolele și pe bună dreptate: sunt unul din acele lucruri fără de care nu putem trăi dar care ne complică viața. De aceea, abia așteptăm să le înlocuim cu altceva, o soluție mai simplă și, până va apărea acea soluție, alegem calea ușoară dar foarte păcătoasă de a folosi aceeași parolă mereu. În acest articol vom discuta despre cum am ajuns în acest loc oribil și ce putem face să ne facem viața mai ușoară. Vom prezenta noi tehnologii care ne promit că ne vor scăpa de parole pentru totdeauna și vă vom explica de ce trebuie să le evităm. La final… și o posibilă soluție, lejeră, amuzantă și foarte utilă care ne poate salva din coșmarul parolelor.

Neplăcerea provocată de parole

Mai întâi să aruncăm o privire în trecut și să vedem cum am ajuns aici. Imediat ce ne-am mutat din lumea reală în spațiul cibernetic, ne-am confruntat cu o problemă: cum știm că ești cine zici că ești? Aceasta este problema autentificării - găsirea unei metode sigure și robuste de a-ți verifica identitatea. Asta nu înseamnă că este același lucru cu a te identifica într-un mod specific. Spațiul cibernetic oferă anonimitate ori cel puțin posibilitatea anonimității. Deși asta nu este cazul pentru tranzacțiile finanicare (cumpărături ori tranzacții bancare), în cele mai multe cazuri trebuie doar să stabilești un alias pentru tine care nu este legat de numele tău real, adresa ta ș.a.m.d. Identitatea este, de obicei, stabilită prin una sau mai multe dintre următoarele metode:

  • Ceva ce cunoști (parola, PIN-ul, răspunsurile la “întrebările secrete”)
  • Ceva ce ești (amprenta, irisul, fața)
  • Ceva ce ai (insignă, carte de identitate, telefon)

În era internetului, metodele de autentificare în spațiul cibernetic au fost limitate. Singurul dispozitiv de intrare a datelor pe care îl are toată lumea este tastatura. Drept urmare, cea mai logică formă de identificare, care ține cont de cel mai mic numitor comun, a fost parola. Și iată-ne în era modernă!

Pentru ca sistemele de autentificare bazate pe parole să meargă bine, utilizatorii trebuie să foloseasca parole diferite pentru fiecare cont, parole care nu sunt ușor de ghicit. Din păcate, creierul uman nu face față acestei sarcini așa că majoritatea oamenilor au 2-3 parole slabe pe care le tot refolosesc. Hackerii știu asta și au dezvoltat unelte automate care pot sparge majoritatea parolelor create de oameni, în câteva minute sau secunde. Ei încep prin a ghici parolele și frazele cele mai comune, apoi fiecare combinație de cuvinte din dicționar, versurile cântecelor faimoase, titluri de filme, echipe sportive, nume comune, date comune ș.a.m.d. Până și unele litere sunt înlocuite de cifre (zero pentru litera O, etc). Oamenii obișnuiti pur și simplu nu au nici o șansă în fața hackerilor.

Din fericire, există o soluție simplă la această problemă: un manager de parole. Aplicații precum LastPass sau 1Password nu numai că vor ține minte și vor completa automat toate parolele tale, dar te vor și ajuta să generezi parole foarte puternice și unice, pentru fiecare cont pe care îl ai. Deși astfel de soluții sunt foarte utile, foarte puțini oameni le folosesc (conform unui raport al Siber Systems, doar 8% dintre utilizatori le folosesc).

Știind când de nepricepuți suntem la a crea parole bune, companiile cărora le pasă de securitate și guvernele au început să ceară a doua formă de “identificare”, așa numita “autentificare în doi pași". De obicei, aceasta constă în folosirea de parole alături de un cod numeric unic care este livrat pe smartphone-ul tău prin SMS ori printr-o aplicație specializată. Chiar dacă răufăcătorii ne “ghicesc" parolele, ei tot trebuie să aibă în posesie smartphone-urile noastre pentru a ne accesa conturile care au activată autentificarea în doi pași. Acesta este standardul “de aur” curent și, când este implementat corect, poate oferi un nivel de securitate destul de robust. Din păcate, tot nu scăpăm de nesuferita de parolă. Cu siguranță, în era calculatoarelor super puternice, a procesării sofisticate de video și audio, a smartphone-urilor pline de senzori, putem veni cu o soluție mai bună…

Vine ucigătorul de parole!

Google, creatorul sistemului de operare Android și al smartphone-urilor Nexus și Pixel, crede că a găsit soluția: au creat o tehnologie care va ucide parola ca metoda primară de autentificare. Folosind senzorii de pe smartphone-uri, compania va fi capabilă să te recunoască folosind o conbinație între figura ta, iris, voce, locație, viteza și stilul de tastare, ce aplicații folosești și când le folosești, ori modul în care vorbești. Toate aceste aspecte combinate vor sta la baza unui “scor de încredere ” - un algoritm secret care determină cât de mari sunt șansele ca tu să fii tu. Acest scor va fi disponibil pe aplicațiile de pe smartphone și le va oferi opțiunea de a nu mai folosi parola, dacă scorul de încredere este suficient de mare în ceea ce privește persoana care utilizează smartphone-ul. În mod evident, aplicații diferite vor cere diferite niveluri de încredere: în timp ce jocul Jewel Mania nu se va chinui să fie sigur că tu ești tu, aplicația ta de banking pe mobil va fi foarte strictă, și pe bună dreptate.

Vei spune: Cât de tare! Adio parole! Telefonul pur și simplu va ști că sunt eu! Dar să facem un pas înapoi și să procesăm mai bine ce se întâmplă în acest scenariu și care sunt implicațiile.

Scorul de încredere al Google este unul din multele sisteme care promit să ne scape de parole. Alte exemple includ un sistem de recunoaștere vocală de la banca Barclays ori facilitatea de recunoaștere facială de la Windows 10, numită Windows Hello. Toate aceste tehnologii sunt bazate pe o formă de date biometrice, adică ceva ce ești , spre deosebire de ceva ce știi: parola. Ceea ce încearcă aceste sisteme prin mai multe metode este să te identifice într-o mod cât mai predictibil și robust cu putință. Folosind tot soiul de senzori, aceste sistem acumulează date despre tine pentru a-ți crea “semnătura biometrică", care distilează prezența ta fizică într-o prezență digitală. Aceste semnături sunt stocate în sisteme care vor fi folosite pentru a te indentifica în viitor, comparând datele curente acumulate de senzori cu datele stocate despre tine, pentru a vedea dacă se potrivesc.

Parolă sau identitatea utilizatorului?

În perspectiva mea, există trei mari probleme cu abordarea biometrică asupra autentificării. În primul rând, la nivelul cel mai de bază, informațiile biometrice reprezintă mult mai mult un ID al utilizatorului decât o parolă și un ID mai degrabă inflexibil și fragil. Pe de o parte, dacă nu cumva ești dornic să te mutilezi, nu poți schimba ceea ce te caracterizează. Pe de altă parte ce te faci dacă fața ta, ochii tăi, degetele tale sunt desfigurate într-un accident? O laringintă ori o răceală zdravănă îți pot face vocea de nerecunoscut pentru astfel de sisteme. Deși tu ești în continuare tu, în aceste contexte speciale, sistemele vor zice că nu mai pari să fii tu. De asemenea, nu ești iondelacraiova85 pe acest sait și masinistul31 pe un altul, ești Ion Popescu, mereu, oriunde!

Intimitatea și anonimitatea

Și am ajuns și la a doua problemă: lipsa anonimității și a intimității. Când folosești autentificarea biometrică, nu poți fi anonim și nu ai o metodă pentru disocierea ori izolarea identității tale de pe un sait pe altul, ori de pe o aplicație pe alta. Poate vei dori să interacționezi cu anumite saituri web, dar nu vrei ca acestea să știe exact cine ești (anonimitate). De asemenea, vrei ca acțiunile tale de pe acel sait web să nu fie cunoscute altor oameni ori altor saituri web (intimitate). Cu autentificarea biometrică, ambele dorințe sunt imposibil de realizat. În era terorismului la nivel global, mulți oameni par dispuși să renunțe la intimitatea lor din spațiul cibernetic deoarece cred că vor ajuta guvernul țării lor să-i mențină în siguranță. Dar intimitatea și anonimitatea sunt necesare, nu doar pentru democrație dar și pentru umanitate. Discuția asta ar fi numai bună pentru o carte și dacă nu crezi asta, urmărește acest discurs în cadrul unei conferințe TED , ținut de Glenn Greenwald. Pentru moment, să reținem ideea că autentificarea biometrică îți dezactivează atât intimitatea cât și anonimitatea în mediul online.

O dramatizare excelentă a efectelor acestui fapt, poate fi găsită în filmul Minority Report. Personajul jucat de Tom Cruise nu poate merge nicăieri fără a fi recunoscut în mod automat de toate sistemele de monitorizare. Acestea nu sunt doar sisteme de supraveghere implementate de guverne ci și sisteme de publicitate realizate de corporații care încearcă “să îmbunătățească experința consumatorului ”. În numele personalizării eficiente a reclamelor, companiile consideră necesar să știe cât mai multe lucruri despre tine și să te recunoască oriunde te duci, fizic sau virtual. Dar, asta nu mai este science fiction, se întâmplă deja.

Securitatea

Ultima problemă cu sistemele de autentificare biometrică este faptul că nu sunt suficient de sigure. Niciun sistem nu poate fi 100% sigur și crearea unui sistem de securitate este mereu un compromis între comoditate, costuri și consecințele unui eșec. Dacă un hacker sparge Amazon.com și reușește să spargă toate parolele clienților, eMAG poate invalida toate parolele pierdute și forța toți utilizatorii să-și creeze o nouă parolă. Dar cum îți alegi o nouă față, o nouă amprentă ori o nouă voce? Orice este stocat în format digital este ușor de furat sau copiat și poate fi partajat cu oricine de pe glob în mod instantaneu. Odată furată o informație, jocul s-a încheiat! Ca exemplu, un hacker a furat 5 milioane de amprente digitizate de la Biroul de Management al Personalului din Statele Unite ale Americii. Acei angajați nu mai pot folosi niciun sistem de autentificare prin amprentă, niciodată, deoarece amprentele lor au fost furate și compromise. Dar ăsta este doar un aspect al problemelor legate de securitate. Calitățile tale biometrice sunt ușor de observat de alte persoane și sisteme și este posibil ca ele să fie copiate folosind același tip de senzori precum cei folosiți pentru a-ți crea semnătura ta digitală inițială. Sistemele de recunoaștere facială ori de scanare a iris-ului pot fi prostite folosind o fotografie. Amprentele pot fi copiate de pe ceva ce ai atins. Sistemele de recunoaștere vocală pot fi înșelate folosind înregistrări ale vocii tale. Pe măsură ce sistemele de recunoaștere devin mai bune, așa devin și uneltele care pot fi folosit pentru a le înșela. De asemenea, ce te împiedică din a fi șantajat ori păcălit să oferi informații biometrice unei persoane rău voitoare? Nici măcar nu trebuie să vrei ori să fii conștient că oferi o amprentă ori o scanare a feței tale. Dacă nu te-ai speriat încă, afla că unele dintre atributele tale fizice pot fi furate foarte ușor (își aduce aminte cineva de filmul Demolition Man ?).

Sincer să fiu, până acum am reușit doar să zgăriu suprafața acestor probleme. Cine deține semnăturile biometrice? Unde și cum sunt stocate aceste informații? Cine este lăsat să-ți acceseze aceste date și ce control ai asupra acestui acces? Pentru ce scopuri sunt stocate aceste informații? Odată ce ai intrat într-un astfel de sistem, există o metodă de încredere pentru a ieși din el?

Există încă speranță

Deși sistemele curente de autentificare prin intermediul parolelor și al verificării în doi pași sunt greoaie și agasante, vreau să subliniez că autentificarea biometrică nu reprezintă răspunsul și se pare că mulți oameni deja realizează asta.

Dar, există alte soluții promițătoare. De exemplu, un nou sistem de autentificare numit SQRL (pronunțat veveriță în limba engleză) îți permite să-ți verifici indentitatea pe un sait web folosind o tehnică prin care utilizatorul trebuie să dea clic pe o imagine ori să scaneze un cod QR cu camera smartphone-ului. Nu trebuie să introduci nimic deci nu ai de reținut nimic. Asta înseamnă și că saitul web nu are nevoie să stocheze nimic despre tine care ar putea fi ținta hackerilor. Și asta este doar cireașa de pe tort, deoarece ai o identitate “fără față" pentru orice sait web, păstrându-ți astfel anonimitatea și intimitatea.

Realitatea probabil că va trebui să fie mai rea până să devină mai bună, dar tot cred că ne va fi mai bine. Trebuie doar să nu ne înecăm până reușim să venim cu soluții care ne pot ține în siguranță, fără a ne știrbi din anonimitate și intimitate.

Ce părere ai despre viitorul autentificării în lumea digitală?

Ai ajuns la finalul articolului și vreau să aflu părerea ta pe marginea acestui subiect. Ce părere ai despre autentificarea biometrică? Dar despre sistemul actual de verificare în doi pași? Ce sistem folosești pentru parolele tale?